Резервирование и восстановление объектов Active Directory в Windows Server 2008/2008R2 Ч.3

Продолжение, начало

Принудительное восстановление объектов при помощи NTDSUTIL

В состав Windows Server входит утилита командной строки NTDSUTIL предназначенная для для обслуживания, управления и контроля Active Directory Domain Services (AD DS) и Active Directory Lightweight Directory Services (AD LDS). В системе утилита становится доступной после установки роли AD DS. В Windows Server 2008 ее функциональность несколько изменилась. Так в Windows Server 2003 с ее помощью можно было восстановить всю базу данных, но в 2008 с этим отлично справляется “wbadmin”, наверное поэтому ее возможности по восстановлению чуть подсократили. Теперь используя NTDSUTIL можно восстановить — организационное подразделение со всем содержимым и отдельный объект.
Ее работа основана на мгновенных снимках Active Directory сделанных при помощи службы VSS. Сам снимок представляет собой компактную резервную копию работающей службы Active Directory, со всеми каталогами и файлами. Создание такой копии в отличие от SystemState происходит очень быстро и занимает несколько секунд.

> ntdsutil

Переходим в контекст snapshot

ntdsutil: snapshot

Запускаем команду создания снимка (краткая форма «ac i ntds»)

снимок: activate instance ntds    
Активный экземпляр "ntds".
снимок: create

Через некоторое время получаем информацию о созданном снимке, выходим:

снимок: quit
ntdsutil: quit

Теперь чтобы восстановить базу Active Directory, достаточно ввести “ntdsutil files repair” в командной строке режима DSRM, но нас интересует отдельный объект.
Просмотреть список удаленных объектов можно при помощи LDP.exe, воспользовавшись командлетами PowerShell Get-ADObject и Restore-ADObject (есть и другие варианты).
В LDP например следует подключить к серверу, выбирать Параметры (Options) — Элементы управления (Controls) и в раскрывающемся списке «Предопределенная загрузка» (Load Predefined) установить параметр «Return deleted objects«. Затем переходим в «Вид — Дерево«, выбираем контекст домена. В итоге в дереве справа появится объект CN=Deleted Object, где и находим все удаленные объекты.
Теперь важное — при удалении объект теряет большую и важную часть своих свойств (в частности пароль, managedBy, memberOf), поэтому после его восстановления он будет не совсем в том виде, как нам хотелось. Это все хорошо видно в LDP. Но здесь есть несколько вариантов:

Увеличить количество сохраненных при удалении атрибутов, можно установив параметр searchFlags нужного для нужного атрибута в значение 8 (PRESERVE_ON_DELETE).

Установка searchFlags для нужного атрибута, позволит сохранить его при удалении

Установка searchFlags для нужного атрибута, позволит сохранить его при удалении


Для этого следует запустить редактор интерфейса служб AD — ADSIEdit, подключиться к контексту наименования «Схема» (CN=Schema). Далее выбираем нужные параметры, например Description (описание) и Unicode-PWD (пароль) и устанавливаем searchFlags в 8.
Восстановить удаленный объект можно несколькими способами. Самый удобный утилита AdRestore Марка Руссиновича (Mark Russinovich).
Скачиваем
и вводим:

> adrestore -r user

Получаем объект с частью атрибутов.
Остальные методы расписаны в KB840001 (
How to restore deleted user accounts and their group memberships in Active Directory
), они не так просты, поэтому останавливаться на них не буду.

Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)